Botnet SSHStalker
Gli analisti della sicurezza informatica hanno scoperto un'operazione botnet nota come SSHStalker, che sfrutta il protocollo Internet Relay Chat (IRC) per le comunicazioni di comando e controllo (C2). Combinando le tradizionali meccaniche delle botnet IRC con tecniche automatizzate di compromissione di massa, questa campagna riflette un approccio calcolato e metodico all'infiltrazione nelle infrastrutture.
A differenza delle botnet moderne che danno priorità alla rapida monetizzazione, SSHStalker privilegia la persistenza e l'espansione controllata, segnalando un obiettivo potenzialmente strategico piuttosto che un guadagno finanziario immediato.
Sommario
Strategia di sfruttamento: prendere di mira i dimenticati e i non patchati
Al centro di SSHStalker c'è un'attenzione deliberata ai sistemi Linux legacy. Il toolkit incorpora una raccolta di 16 vulnerabilità del kernel Linux, molte delle quali risalgono al 2009 e al 2010. Sebbene ampiamente inefficaci contro i sistemi contemporanei completamente patchati, questi exploit rimangono validi contro infrastrutture obsolete o trascurate.
Tra le vulnerabilità più note sfruttate nella campagna figurano CVE-2009-2692, CVE-2009-2698, CVE-2010-3849, CVE-2010-1173, CVE-2009-2267, CVE-2009-2908, CVE-2009-3547, CVE-2010-2959 e CVE-2010-3437. Questo ricorso a falle più vecchie dimostra una strategia pragmatica: sfruttare ambienti legacy a coda lunga che spesso sfuggono ai moderni controlli di sicurezza.
Espansione simile a un worm tramite automazione SSH
SSHStalker integra funzionalità di scansione automatizzata per ampliare la sua portata. Uno scanner basato su Golang sonda attivamente la porta 22 per identificare i sistemi che espongono i servizi SSH. Una volta individuati, gli host vulnerabili vengono compromessi e registrati nei canali IRC, espandendo di fatto la botnet in modo simile a un worm.
Durante l'infezione vengono distribuiti diversi payload, tra cui varianti di un bot controllato da IRC e un bot basato su file Perl. Questi componenti si connettono a un server UnrealIRCd, si uniscono ai canali di controllo designati e attendono istruzioni. L'infrastruttura supporta attacchi di traffico coordinati in stile flood e una gestione centralizzata dei bot.
Nonostante queste potenzialità, la campagna si astiene in particolare dall'impegnarsi in comuni attività di monetizzazione post-exploitation, come attacchi DDoS (Distributed Denial-of-Service), proxyjacking o mining di criptovalute. Al contrario, i sistemi compromessi rimangono in gran parte dormienti, mantenendo un accesso persistente. Questa posizione operativa contenuta suggerisce potenziali casi d'uso come lo staging, la conservazione degli accessi o future operazioni coordinate.
Stealth, persistenza e anti-forense
La furtività operativa è una caratteristica distintiva di SSHStalker. Il malware implementa utility di pulizia dei log che manipolano i record utmp, wtmp e lastlog per nascondere gli accessi SSH non autorizzati. Vengono eseguiti programmi C personalizzati per rimuovere le tracce di attività dannose dai log di sistema, riducendo la visibilità forense.
Per garantire la resilienza, il toolkit include un meccanismo di keep-alive progettato per riavviare il processo malware primario entro 60 secondi, se terminato. Questa strategia di persistenza rafforza la resistenza del sistema negli ambienti compromessi.
Infrastruttura di messa in scena e arsenale di strumenti offensivi
L'analisi dell'infrastruttura di staging associata ha rivelato un ampio archivio di strumenti offensivi e malware precedentemente documentati. Il toolkit include:
- Rootkit progettati per migliorare la furtività e mantenere la persistenza
- Minatori di criptovalute
- Uno script Python che esegue un binario denominato "website grabber" per raccogliere le credenziali di Amazon Web Services (AWS) esposte da siti Web vulnerabili
- EnergyMech, un bot IRC che consente il comando e controllo e l'esecuzione di comandi remoti
Questa raccolta mette in evidenza un quadro operativo flessibile, in grado di adattarsi a molteplici obiettivi di attacco.
Indizi di attribuzione e sovrapposizione operativa
Gli indicatori nei canali IRC e nelle liste di parole di configurazione suggeriscono una possibile origine rumena, inclusa la presenza di nickname e slang in stile rumeno. Inoltre, le caratteristiche operative si sovrappongono significativamente a quelle del gruppo di hacker noto come Outlaw (noto anche come Dota), indicando una potenziale affiliazione o una condivisione di competenze.
Orchestrazione matura su sfruttamento innovativo
SSHStalker non si basa su vulnerabilità zero-day o su uno sviluppo innovativo di rootkit. Al contrario, la campagna dimostra un controllo operativo disciplinato e un'orchestrazione efficace. Il bot principale e i componenti di basso livello sono scritti principalmente in C, con script shell che gestiscono la persistenza e l'automazione. Python e Perl vengono utilizzati selettivamente per funzioni di utilità e attività di supporto all'interno della catena di infezione.
Questa campagna esemplifica un flusso di lavoro strutturato e scalabile basato su compromessi di massa, che enfatizza il riciclo dell'infrastruttura, l'automazione e la persistenza a lungo termine in diversi ambienti Linux. Piuttosto che nell'innovazione, la sua forza risiede nell'esecuzione, nel coordinamento e nello sfruttamento strategico dei sistemi trascurati.
